Have I Been Pwned adds 284M accounts stolen by infostealer malware
2025/02/25 BleepingComputer — Have I Been Pwned (HIBP) データ侵害通知サービスに追加されたのは、Telegram チャネルで発見された 2億8,400万件以上のアカウントだ。それらの情報は、情報窃盗マルウェアにより盗まれたものであると見られている。
HIBP の創設者である Troy Hunt は、「ALIEN TXTBASE と呼ばれる Telegram チャネルで共有されたと思われる、多数のソースから収集された 1.5TB の窃盗ログを分析する際に、2億8,413万2,969件の侵害されたアカウントが発見された」と述べている。
2025年2月25日 (火) のブログで Troy Hunt は、「この 230 億行のログには、2億8,400万件の固有のメール・アドレスに影響を及ぼす、4億9,300万件の固有の Web サイトとメール・アドレスのペアが含まれていた。我々は、これまでは未確認だった 2億4,400万件のパスワードを Pwned Passwords に追加し、すでに含まれていた 1億9,900万件に対してカウントを更新した」と述べている。
このコレクションには、多数のアカウントが含まれている。一連のデータには、クレデンシャル・スタッフィング攻撃やデータ侵害により盗まれた、新旧の認証情報が含まれる可能性もあるという。
盗まれたメール・アドレスを使用してパスワード・リセットを試行すると、サービスがパスワード・リセット・メールを送信するトリガーになることをチェックしたと、Troy Hunt は述べている。つまり、アカウントの真正性を確認してから、盗まれたアカウントは HIBP のデータベースに追加されたことになる。
新しく追加された API を使うことで、1分間で最大 1,000件のメール・アドレス検索と、スティーラー・ログ検索が可能になるという。この仕組みを活用することで、ドメイン所有者と Web サイト運営者 (月額サブスクリプション料金を支払う) は、メール・ドメインまたは Web サイト・ドメインでスティーラー・ログを照会し、資格情報が盗まれた顧客を特定できるようになったという。
一般ユーザーも、ALIEN TXTBASE インフォスティーラー・ログで、自身のアカウントの有無を確認できるかという問いに対して、HIBP 通知もサブスクライブしている場合には確認できると、Troy Hunt は回答している。
彼は、「ただし、通知サービスを使用してアドレスを確認した場合には、資格情報がキャプチャされた Web サイトだけが表示される。機密性の高いサービスの使用が明らかになる可能性があるため、その情報は公開したくない。なお、これらの新しい API の導入により、数多くの組織は、悪意の活動のソースを特定し、さらに重要なことに、被害が発生する前に先手を打ってブロックできるようになる」と付け加えている。
2021年12月の時点で HIBP は、そのときに最も広く展開されていた情報窃盗マルウェアの RedLine によるキャンペーンで盗まれた、441,000件のアカウントも追加している。このデータは、セキュリティ保護されていないサーバ上で見つかったものであるが、2021年8月〜9月に収集された 600 万件の RedLine ログを超えるものだった。
また、2023年6月の時点では、Zacks Investment プラットフォームを使用する、880万人分のカウント・データとして、メール・アドレス/ユーザー名/unsalted SHA256 パスワード/住所/電話番号/フルネームなどが追加されている。
さらに、2025年2月の初めに HIBP は、セキュリティ侵害で流出した、Zacks ユーザーの 1,200万人分のアカウントを追加したが、そこにも同様の機密データが紐づいていたという。
Have I Been Pwned (HIBP) に、新たに 2億8,000万以上のアカウントが追加されました。自身のアカウントが被害を受けていないか確認するとともに、定期的なパスワード変更やセキュリティ設定の見直しを行うことが重要です。なお、同様のトピックとして、2024/06/04 に、「Telegram アカウントから 3億6,100万件のメール・アドレスが流出:あなたは大丈夫?」という記事を投稿しています。よろしければ、Telegram で検索と併せて、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.